보안 전문가와 보안 관리자의 차이와 구분에 대해

보안전문가와 보안관리자의 차이와 구분에 대해

 

 

안녕하세요. 바다란입니다.

 

일전에 보안전문가에 대해서 한번 써보기로 했었는데 생각해 보니 범위도 매우 넓고 세부기술 단위도 많은 문제가 있었습니다. 그리고 보안이라는 부분이 모든 IT 관련된 기술 부분과 연관되다 보니 적용의 범위와 산업의 범위를 어디까지로 두어야 할지 경계가 모호하여 적지 못한 적이 있습니다.

오늘은 IT서비스 부분에 대해 전체의 범주는 아니지만 많은 부분 포함이 되는 범위 안에서 보안전문가와 보안관리자에 대해 써보도록 하겠습니다.

 

보안전문가와 보안관리자에 대해서 상당히 애매하게 접근을 하고는 합니다. 그러나 일반적으로 알려진 상식으로 구분을 해보면 보안전문가는 보안 관련된 기술을 깊이 있게 이해하고 있고 실제 적용이 가능한 상태로 만들 능력을 지니고 있는 자를 의미합니다. 보안관리자는 보안정책에 대한 집행과 이행 , 시스템에 대한 관리 등등 다양한 부분을 책임지고 있는 자라고 할 수 있습니다.

전문가는 기술에 대한 전문가이고 관리자는 관리능력과 책임을 지닌 담당자라고 일반 경계를 그을 수 있을 것 같습니다. 보안전문가와 보안관리자는 Specialist와 Generalist라고 볼 수 있으며 일반 기업에서는 보안관리자는 Generalist여도 되나 IT서비스를 주된 업종으로 삼는 곳에서는 특정 부분[기술적인 부분]에서 Special한 능력을 일정수준이상 보유한 Generalist가 보안관리자라고 할 수 있습니다. 세부적인 기술에도 익숙하고 전체적인 부분에 대해서도 이해가 가능하며 책임의식이 있는 부류를 보안관리자라 칭할 수 있을 것입니다. 보안관리자는 또 두 가지 큰 부류로 나눌 수 있습니다. Manager와 Officer의 차이점이라고 할 수 있는데 후반부에 기술 하도록 하겠습니다. Security Manager의 속성에는 지켜야 할 대상에 따라 두 가지 부류로 나눌 수 있습니다. 고정 자산에 대한 보호를 위한 정책적인 보안관리자와 서비스에 대한 보호를 위한 Special Security Manager로 나눌 수 있습니다. 지켜야 할 대상이 무엇인가에 따라 부류가 달라진다고 보면 됩니다. General Security Manager와 Special Security Manager에 대한 차이는 보안관리자 부분에서 다루도록 하겠습니다.

 

IT 서비스를 구성하는 요소는 시스템 , 네트워크 , 서비스로 한정할 수 있습니다. 시스템과 네트워크는 이미 기본으로 갖추어야 하는 능력이며 서비스 [ 웹 , 게임 , Application 등등 ]에 대한 능력은 새롭게 강조되고 요구되는 능력입니다. 사실상 가장 중요하고 IT서비스에 막대한 영향을 미칠 수 있는 부분이기도 합니다. Web 2.0에서 사용자와의 인터페이스가 가장 중요한 부분인 IT 서비스 부분에서는 서비스에 대한 보안기술 능력은 더욱 중요한 부분이 됩니다. 범위를 한정하여 IT 서비스를 주된 업종으로 삼고 있는 업계에 한정하여 보안전문가가 갖추어야 할 요건은 다음과 같습니다.

 

보안전문가 [ IT Service 부분]

 

해커의 길에 유사한 내용들이 포함 되어 있습니다.

해커의 길 I : http://p4ssion.com/233

해커의 길 II: http://p4ssion.com/228

 

-         네트워크 보안 기술 : 네트워크 분야의 기본적인 보안 구성에 대한 이해가 가능하며 네트워크 구성도에 대한 이해가 명확해야 합니다. 취약지점과 보완해야 될 부분에 대해서 정확하게 지적할 수 있을 정도의 능력이 요구 됩니다. 또한 네트워크 보안장비에 대한 기본 이해도 충분해야만 합니다.

 

-         시스템 보안 기술:  각 서비스 하위 단위를 구성하고 있는 물리적인 단위인 각 개별 시스템 및 운영체제들에 대한 이해도가 충분하게 높아야 됩니다. 운영체제의 종류도 여러 가지가 있지만 대체로 *BSD 계열과 Windows 계열에 대한 충분한 이해와 일반 운영인력들 보다 나은 능력을 보유하여야만 됩니다.

 

-         Application 보안기술: 다양한 부분이 있습니다만 만들어진 부분에 대한 보안요소를 강조하는 의미에서 Web , Database에 대한 보안 기술과 구성요소에 대한 이해가 되어야만 합니다. Game의 경우에는 게임 내에서 발생하는 Abusing에 대한 분석능력도 충분하여야 하며 Service의 경우에는 Service에 대한 Abusing 대응과 분석이 가능한 능력이 있어야만 합니다. 이 부분에서 다양한 요소기술이 요구 됩니다.

 

n         Programming 능력: 개발이 가능한 능력이 있어야만 본질적인 보안상의 문제 이해와 지적이 가능합니다.

 

n         구조에 대한 이해: 오랜 시간이 소요되지만 서비스의 구성과 구조, Process에 대한 이해가 있어야만 게임이든 서비스든 Abusing에 대한 분석과 대응이 가능합니다.

 

n         각 Application별 [ 상용 또는 자체개발 ] 보안 취약성의 동향과 흐름에 대해 신속한 정보 수집과 전파 , 가공 능력을 지녀야만 합니다.

 

n         Reverse Engineering : 현상에 대한 분석을 위해 Binary 분석 능력을 갖추고 있어야 하며 최소한 이해는 할 정도는 되어야만 됩니다. Game의 분석을 위해서는 Binary 분석 및 Reverse Engineering 능력은 필수적인 부분입니다. 물론 어셈블리에 대한 이해도도 충분한 수준 이여야 겠죠?

 

-         Penetration Test 능력: 일반적으로 모의해킹이라고 부릅니다. 시스템 / 네트워크/ Application을 총체적으로 이해하는 상황에서 각 분야별로 침입을 시도합니다. 현재에는 시스템 및 네트워크 부분에 대해서는 상당부분 강화가 많이 되고 차단이 되는 상태라 주된 초기 침입지점은 Web을 통한 침입지점이 많습니다만.. 침입 이후에 진단되는 부분은 시스템/ 네트워크 /Application 영역을 막론하고 모두 해당이 되므로 모든 부분에 대한 능력을 보유하고 있어야 됩니다. 최소한 어느 곳에 어떤 정보가 있고 이런 유형에는 어떤 문제가 있다라는 Feeling이라도 지니고 있어야 됩니다.

 

간략하게 살펴보면 나열된 유형의 지식이 존재하여야만 됩니다. 물론 이상적인 경우입니다. 최소한 언급한 네 가지 기술에서 2가지는 필수이고 다른 두 가지는 중급 이상의 능력을 지녀야만 어느 곳에서도 역량 발휘를 할 수 있습니다.

 

필수는 시스템/네트워크 보안기술이며 Application 보안기술과 Penetration Test 의 경우 중급 이상의 능력을 보유하여야만 합니다. 시스템/네트워크 보안 기술만 보유하여도 충분한 기술이라 할 수 있지만 장기적인 안정성은 부족하며 현재의 공격기술 발전상황을 따라 갈 수 없는 상황이라 할 수 있습니다.

모의해킹과 Application 보안 기술 각각만 하여도 충분히 인정 받을 수 있으나 장기적으로는 세부 기술에 대한 이해와 범위를 확대 하고 끊임없이 노력하여야만 장기적인 발전 통로를 확보 할 수 있습니다. 작금의 국내 보안인력들은 인력풀은 매우 협소하나 충분한 역량 발휘가 가능한 인력들이 다수 있다고 볼 수 있으며 각 세부부분에 너무 치중하여 전체적인 균형이 부족한 부분이 작은 흠이라고 봅니다. [ 물론 제가 이런 말을 할 입장은 아닙니다만 ^^ ; 사견이므로 … 용서가 되리라 봅니다.]

 

 

보안관리자 [Security Manager]

 

보안관리자라는 용어에는 앞서 서두에서 GSM[General Security Manager]와 SSM[Special Security Manager]라고 구분을 지을 수 있다고 하였습니다. 대상이 무엇이냐에 따라 달라집니다만.. General Security Manager의 구성요소는 일반적으로 많이 아시는 자격증을 생각 하시면 됩니다. CISA , CISSP등과 같은 유형은 보안의 폭넓은 부분을 다루고 있으며 깊이보다는 넓이에 치중을 하고 있습니다. 물론 물리적인 보안 부분도 넓게 다루고 있습니다. 지켜야 할 대상의 범주에 따라 구분을 하시면 됩니다. 서비스의 제공이 아닌 제품의 제조 또는 연구결과물에 대한 보호가 필요한 기업이나 굴뚝형 기업[지켜야 할 그 무엇이 있는 기업? ]의 경우 GSM[ General Security Manager 이후 약어로 GSM이라 칭함]의 역할이 필요합니다. 물리적인 보안 조치 및 정책적인 보호 이슈 등에 대해서 대비를 하고 준비를 하면 일정 수준 이상의 보안 대응이 가능합니다. 물론 일부 IT 관련된 보호 대책도 논의가 되고 있으나 그다지 특화된 서비스라 보기는 어렵습니다.

 

 

GSM[General Security Manager]

 

상당히 폭넓은 분야에 대한 상대적으로 가벼운 지식[?]이 필요합니다. 그 동안의 ISO 인증이나 정통부의 인증 부분도 유사유형이라고 볼 수 있으며 이런 인증들이 IT서비스의 위험을 막을 수는 없습니다. 그러나 최소한의 대응과 준비는 할 수 있게 해준다는 점에서 의의를 찾을 수 있습니다. 외부와의 접촉 통로가 물리적인 방식 외에는 없을 경우 이 부분에 대한 대책을 진행 하면 됩니다. 이 부분도 심도 있게 들어갈 경우에는 많은 고민이 필요합니다만 지켜야 할 그 무엇에 대한 관점에 따라 달라집니다. GSM이 관장하는 영역을 일반보안이라고 칭하기도 하고 산업보안이라고도 할 수 있을 것입니다. [ 대략적인 업무에 대해서는 알고 있으나 상세 발전 내용에 대해서는 자세히 알고 있지 못하므로 표현에 대해 넓은 양해를 바랍니다.]  물리적인 보안 및 PC 보안에 대한 부분과 통제 부분이 주된 부분이 되며  BCP [ Business Continuity Planning] 영역으로 넘어가 전사적인 비즈니스 연속성 관점에서 이루어 지기 위해서는 GSM 영역도 매우 사려 깊고 심도 있는 지식과 이해가 필요한 부분이 됩니다. 그러나 이해를 하기 위해서 필요한 지식 부분은 GSM 보다는 SSM 영역에서 BCP에 접근하는 것이 더욱 손쉬운 길이며 또한 BCP를 수행 하기 위해서는  보안전문가 영역의 수준을 이해 할 수 있어야 됩니다. 이제는 자연재해만이 재해가 아니며 대규모 해킹이나 지속적인 DDoS에 따른 장애도 BCP에 포함이 되어야 하기에 더욱 그렇습니다.

 

 

 

SSM [ Special Security Manager]

 

Special Security Manager라 불릴 수 있는 보안관리자는 이제 걸음마 단계라고 할 수 있습니다. 보안전문가 수준에서 올라 갈 수 있는 레벨이라고 보시면 됩니다. GSM이 다른 영역에서도 보다 손쉽게 초기에 진입을 할 수 있다면 SSM은 매우 어렵습니다. 상당한 기간의 보안전문가 수준을 거쳐야만 가능하기 때문입니다. GSM은 시장에 초기 진입은 쉬우나 발전 양상에 따라 매우 어려운 상황에 처할 수 있으며 중대 사고 발생시에 빠른 판단과 대응을 하지 못함에 따라 문제가 심각해 질 가능성이 있습니다.

 

보안전문가와 Special Security Manager와의 차이점은 몇 가지 안됩니다.

 

보안 전문가 영역에 대한 이해를 기본 바탕으로 하고 현재의 공격이나 위협의 흐름에 대한 인식과 배움을 게을리 하지 않은 SSM들에게 요구되는 것은 현상에 대한 판단능력과 위협에 대한 대응 능력이 가장 필요합니다.. 보안 전문가들이 개별 사안에 대해 문제점을 진단하고 위협을 나타낸 것을 가지고 전체 서비스 분야에서 이 문제가 어떤 파급효과를 가져 올 수 있고 향후에 어떤 위험이 될 수 있다는 것을 판단하고 과감하게 행동에 옮길 수 있어야만 SSM 이라 할 수 있습니다. 자리를 차지 하고 있다고 관리자가 아니며 판단과 책임이 동반됨을 인지하고 기민하게 움직이고 판단/ 대응 하는 능력.. 이런 능력을 지닌 자가 Special Security Manager라 할 수 있습니다.

 

한국의 IT서비스 역사는 일천합니다. 좋게 봐도 10년이 한계입니다. 그 IT서비스 역사에서 보안이라는 기술 부문은 매우 거친 환경에서 자생 할 수 밖에 없었고 더욱이 서비스에 대한 이해를 하고 있는 보안관리자는 거의 없다고 볼 수 있습니다. 이제서야 보안전문가들이 보안관리자 영역에 접근을 하고 있는 시점에서 보면 좀 더 많은 시간이 지나야 각 IT 서비스 부문에 대해 특화된 전문적인 보안관리자들을 만날 수 있을 것입니다.

 

대규모 해킹 사고가 나거나 백도어가 발견 되었을 때 취할 수 있는 행동에 따라 GSM과 SSM의 행동 동선과 사고의 동선도 다르며 손쉽게 구분이 될 수 있습니다. 실효적인 대응 조치가 무엇이고 당장 무엇을 해야만 하는지 또 보안대책의 이행에 따른 서비스의 장애가 충분히 감내 할만 하고 그만큼의 가치가 있는 작업인지에 대해서 기술적으로 판단을 하여야 합니다. 이런 판단은 SSM 만이 명쾌하게 내릴 수 있습니다. GSM의 경우는 IT 서비스 부문에서 현상에 대한 판단 능력과 위협에 대한 대응 능력이 느릴 수 밖에 없으며 서비스 부문에서의 대응에서 느림이라는 것은 종말과도 같은 결과를 가져오게 됩니다.

 

Global 부문에서도 마찬가지 입니다. IT 서비스를 하는 모든 기업들 [ 사용자와의 인터페이스를 중시하고 사업모델인 모든 기업]에게 SSM은 매우 필요한 존재이며 이런 존재는 보안전문가와 함께 전문가집단을 구성함으로써 완전함을 이룰 수 있습니다. 완벽하게 방어하는 것이 아닌 공격기술과의 격차를 최소화 하고 빠르게 대응하는 체제만이 향후의 IT 서비스에 긍정적인 역할을 할 수 있고 최선의 결과를 가져 올 수 있습니다. 

 

Web2.0이 화두입니다.

Web2.0의 기본 모토는 사용자와의 호흡입니다. 호흡을 하기 위한 도구로 Internet이 사용됩니다. Web2.0을 표방하는 기업은 이 호흡에서 이익을 창출합니다. 사람들은 모두 위험성은 외면한 채로 이득만을 바라봅니다. 그러나 이런 이득은 오래 지속 될 수 없습니다. 위험에 대한 대비가 없고 준비가 없는 상태에서는 기껏 이루어 놓은 것들 조차도 순식간에 사라질 수 밖에 없습니다. 

 

 

 

Security Manager와 Security Officer

 

보안관리자와 CSO [ Chief of Security Officer]의 차이는 경영을 보는 눈에 있습니다. 보안관리자는 현실에서의 최선을 추구합니다. 그러나 경영을 보는 관점에 따라 ..회사의 수익구조와 발전방향을 이해하고 있는 CSO에게서는 적절한 수준의 대응과 미래에 대한 준비를 고민 할 수 있습니다. 수익에 기여 할 수 있는 부분을 찾고 보안이라는 역할을 수익에 직접 기여 하고 가장 큰 위험요소를 전략적으로 선별하여 제거 하도록 하는 관점이 있습니다. 모든 부분에 힘을 쏟을 수 없으므로 중요한 부분을 찾아서 선별적으로 힘을 집중하여 대응을 하는 큰 그림을 그릴 수 있는 능력이 있습니다. 보안관리자와 CSO의 차이는  경영을 보는 관점과 수익창출에 기여 할 수 있는 부분을 가려내는 능력에 있다고 봅니다. 물론 CSO의 경우에도 기술적인 의견들에 대해서는 판단을 하여야만 합니다. 서비스의 중지라는 극단적인 선택을 택하면서도 이러한 선택이 장기적인 관점에서 이익임을 이해 할 수 있어야만 합니다. 서비스의 중지가 필요한 사안인지에 대한 판단능력을 CSO가 가지고 있어야만 함은 당연한 이야기입니다. 최소한 보안전문가와 보안관리자의 의견을 종합하여 분석하고 판단할 수 있는 능력은 있어야 CSO라 할 수 있을 것 같습니다.

 

Security Manager와 Security Officer는 아직 경험해 보지 못한 영역[물론 앞으로도.. ^^]입니다. 따라서 단편적으로 제가 보는 시각에서 논의 하는 것이 부적절 할 수 있습니다만 개인의 관점에서 바라본 입장임을 양해 바랍니다..

 

이상과 같이 Security Specialist 와 Manager [ GSM 과 SSM] , Officer에 대해서 나름대로 생각하는 부분을 정리해 보았습니다. 자판 가는 대로 쓰다 보니 어설픔이 곳곳에 배여 있습니다.  GSM [ General Security Manager ]은 물리적인 보안 부분과 정책적인 보안 부분에 대한 집중도가 높습니다. SSM [ Special Security Manager]는 기술과 동향에 대한 이해도가 높으며 집중도가 높습니다. Specialist와 Generalist의 영역 관점에서 보았을 때 최소한 IT 서비스 보안이라는 부분에서는 Specialist가 더 중요한 존재입니다. SSM의 중요성이 GSM의 중요성 보다 더욱 크다는 이야기 입니다.

 

SSM은 키우기도 어렵고 서비스에 대한 이해도가 높아지기 위해서는 많은 시간이 필요한 부분입니다.보안전문가와 Special Security Manager의 조합은 변화무쌍한 Web 2.0 환경과 그 이상의 복잡한 환경에서 기업의 안정성을 보장하고 빠르게 변화하는 공격 기술로부터 IT서비스를 지킬 수 있는 조합이라 할 수 있습니다.

 

IT 서비스 측면에서 보안전문가와 보안관리자[SSM]의 필요성과 차이, 구분에 대해서 느끼는 대로  적어 보았습니다.  마지막으로 국내의 IT서비스 환경에서도 보안전문가의 중요성과 각 서비스 환경에 능숙한Special Security Manager의 양성에도 많은 관심이 있었으면 합니다.

 

좋은 하루 되세요.   2007.3.6

 

* 사족으로 그 동안 여러 회사에서  Security manager들과 많은 일들을 해보았습니다만 보안은 행동하지 않으면 아무것도 없는 허상입니다. 말과 문서로 이루어 지는 것은 실제의 서비스에 많은 영향을 주지 못함은 당연한 사실입니다. 보안전문가의 말이 통하지 않고 판단이 늦어지는 문제는 IT서비스 부분에서 치명적인 결과를 가져온 것을 종종 보았습니다. ^^;